Delegación de la administración de asignaciones de roles de Azure a otros usuarios con condiciones

Como administrador, puede obtener varias solicitudes para conceder acceso a los recursos de Azure que desea delegar a otra persona. Puede asignar a un usuario los roles Propietario o Administrador de acceso de usuario, pero estos son roles con privilegios elevados. En este artículo se describe una manera más segura de delegar la administración de asignaciones de roles a otros usuarios de la organización, pero se agregan restricciones para esas asignaciones de roles. Por ejemplo, puede restringir los roles que se pueden asignar o restringir las entidades de seguridad a las que se pueden asignar los roles.

En el diagrama siguiente se muestra cómo un delegado con condiciones solo puede asignar los roles Colaborador de copia de seguridad o Lector de copia de seguridad solo a los grupos marketing o ventas.

Prerrequisitos

Para asignar roles de Azure, debe tener:

Microsoft.Authorization/roleAssignments/write permisos, como Administrador de control de acceso basado en roles o Administrador de acceso de usuario

Paso 1: Determinar los permisos que necesita el delegado

Para ayudar a determinar los permisos que necesita el delegado, responda a las siguientes preguntas:

¿Qué roles puede asignar el delegado?
¿A qué tipos de entidades de seguridad puede asignar roles el delegado?
¿A qué entidades de seguridad puede asignar roles el delegado?
¿Puede un delegado eliminar asignaciones de roles?

Una vez que conozca los permisos que necesita el delegado, siga estos pasos para agregar una condición a la asignación de roles del delegado. Para obtener condiciones de ejemplo, consulte Ejemplos para delegar la administración de asignaciones de roles de Azure con condiciones.

Paso 2: Iniciar una nueva asignación de roles

Inicie sesión en Azure Portal.
Siga los pasos para abrir la página Agregar asignación de roles.
En la pestaña Roles , seleccione la pestaña Roles de administrador con privilegios .
Seleccione el rol Administrador de control de acceso basado en roles.

Aparece la pestaña Condiciones .

Puede seleccionar cualquier rol que incluya las acciones Microsoft.Authorization/roleAssignments/write o Microsoft.Authorization/roleAssignments/delete, como Administrador de Acceso de Usuario, pero el Administrador de Control de Acceso Basado en Roles tiene menos permisos.
En la pestaña Miembros , busque y seleccione el delegado.

Paso 3: Agregar una condición

Hay dos maneras de agregar una condición. Puede usar una plantilla de condición o puede usar un editor de condiciones avanzada.

Template
Editor de condiciones

En la pestaña Condiciones en ¿Qué puede hacer el usuario?, seleccione la opción Permitir que el usuario asigne solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).
Seleccione Seleccione roles y principales.

Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.

Captura de pantalla de Agregar condición de asignación de roles con una lista de plantillas de condición.

Seleccione una plantilla de condición y, a continuación, seleccione Configurar.

Plantilla de condición	Seleccione esta plantilla para
Restringir roles	Permitir que el usuario solo asigne roles que seleccione
Restricción de roles y tipos de entidades de seguridad	Permitir que el usuario solo asigne roles que seleccione Permitir que el usuario solo asigne estos roles a los tipos principales que seleccione (usuarios, grupos o entidades de servicio).
Restringir roles y entidades de seguridad	Permitir que el usuario solo asigne roles que seleccione Permitir que el usuario solo asigne estos roles a los principales que seleccione
Permitir todo excepto roles específicos	Permitir que el usuario asigne todos los roles excepto los roles que seleccione

En el panel configurar, agregue las configuraciones necesarias.
Seleccione Guardar para agregar la condición a la asignación de roles.

Si las plantillas de condición no funcionan para su escenario o si quiere más control, puede usar el editor de condiciones.

Editor de condiciones abiertas

En la pestaña Condiciones en ¿Qué puede hacer el usuario?, seleccione la opción Permitir que el usuario asigne solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).
Seleccione Seleccione roles y principales.

Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.

Captura de pantalla de Agregar condición de asignación de roles con una lista de plantillas de condición.
Seleccione Abrir editor de condiciones avanzadas.

Aparece la página Agregar una condición de asignación de funciones.
En la opción Tipo de editor, deje seleccionado el Visual predeterminado.

Agregar acción

En la sección Agregar acción , seleccione Agregar acción.

Aparece el panel Seleccionar una acción. Este panel es una lista filtrada de acciones basada en la asignación de roles que será el destino de la condición.
Seleccione la acción Crear o actualizar asignaciones de roles que desea permitir si la condición es verdadera.

Sugerencia

Si selecciona las acciones Crear o actualizar asignaciones de roles y Eliminar una asignación de roles , no podrá agregar una expresión de condición. Si desea tener como destino ambas acciones, debe agregar dos condiciones. Para obtener más información, consulte Ejemplo: Restringir roles.

Compilar expresiones

En la sección Build expression (Expresión de compilación ), seleccione Add expression (Agregar expresión).

Aquí es donde se crea la expresión para restringir las asignaciones de roles que el delegado puede agregar.
En la lista Origen de atributos , seleccione Solicitar.
En la lista Atributo , seleccione uno de los atributos siguientes para el lado izquierdo de la expresión.
- El identificador de definición de rol se usa para restringir los roles que el delegado puede asignar.
- El Id. de entidad de seguridad se usa para restringir las entidades de seguridad específicas a las que el delegado puede asignar roles.
- El tipo de principal se usa para restringir los tipos de principales (usuarios, grupos o principales de servicio) a los que el delegado puede asignar funciones.

En la lista Operador , seleccione un operador.

Según el atributo y la expresión que quiera compilar, normalmente se seleccionan estos operadores, lo que le permite seleccionar uno o varios valores para el lado derecho de la expresión.

Atributo	Operador común
Id. de definición de rol	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
Identificador Principal	ForAnyOfAnyValues:GuidEquals
Tipo de entidad de seguridad	ForAnyOfAnyValues:StringEqualsIgnoreCase

En el cuadro Valor , escriba uno o varios valores para el lado derecho de la expresión.
Agregue expresiones adicionales según sea necesario.

Sugerencia

Al agregar varias expresiones para delegar la administración de asignaciones de roles con condiciones, normalmente se usa el operador And entre expresiones en lugar del operador Or predeterminado.
Seleccione Guardar para agregar la condición a la asignación de roles.

Paso 4: Asignación de roles con condición para delegar

En la pestaña Revisión y asignación, revise la configuración de la asignación de roles.
Seleccione Revisión y asignación para asignar el rol.

Después de unos instantes, al delegado se le asigna el rol Administrador de control de acceso basado en roles con las condiciones de asignación de roles.

Paso 5: Delegar asigna roles con condiciones

El delegado ahora puede seguir los pasos para asignar roles.

Cuando el delegado intenta asignar roles en Azure Portal, la lista de roles se filtrará para mostrar solo los roles que pueden asignar.

Si hay una condición para las entidades de seguridad, también se filtrará la lista de entidades de seguridad disponibles para la asignación.

Si el delegado intenta asignar un rol que está fuera de las condiciones mediante una API, se produce un error en la asignación de roles. Para obtener más información, vea Síntoma: no se puede asignar un rol.

Edición de una condición

Hay dos maneras de editar una condición. Puede usar la plantilla de condición o puede usar el editor de condiciones.

En Azure Portal, abra la página Control de acceso (IAM) para la asignación de roles que tiene una condición que desea ver, editar o eliminar.
Seleccione la pestaña Asignaciones de roles y busque la asignación de roles.
En la columna Condición , seleccione Ver/Editar.

Si no ve el vínculo Ver o editar, asegúrese de estar viendo el mismo ámbito de la asignación de roles.

Aparece la página Agregar condición de asignación de roles . Esta página tendrá un aspecto diferente en función de si la condición coincide con una plantilla existente.
Si la condición coincide con una plantilla existente, seleccione Configurar para editar la condición.
Si la condición no coincide con una plantilla existente, use el editor de condiciones avanzadas para editar la condición.

Por ejemplo, para editar una condición, desplácese hacia abajo hasta la sección expresión de compilación y actualice los atributos, el operador o los valores.

Para editar la condición directamente, seleccione el tipo de editor de Código y, a continuación, edite el código de la condición.
Cuando termine, haga clic en Guardar para actualizar la condición.

Pasos siguientes

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-10-16